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Anonymrsterungsverfahren 



Die Erfindung betrifft ein Verfahren zur Anonymisierung sensibler Daten innerhalb 
eines Datenstroms. 



5 In Datenbanken werden Informationen zur langfristigen Aufbewahrung gespeichert. 
Der Wert solcher Informationssammiungen wird als wesentfiches Gut von 
Organlsationen angesehen. Aufgrund der Sensitivity wird im ailgemernen der Zugriff 
auf Datenbanken beschrdnkt, d.h. da& der Zugriff nur fur autorisierte Anwender gernSO. 
/ dereh Rechteprofil moglich 1st. In einem Rechteprofil kann festgelegt werden, wer auf 

10 welche Daten nrfrt welchen Modi (z.B. lesend, schreibend) zugreifen kann. Ein 
gdngiges Beispiel ist, daft nicht jeder Mitarbeiter eines Untemehrnens Personal daten 
einsehen kainn. Auch gemafc dem „Need to know"-Prinzip konnen Mitarbeiter 
- ausschliefilich die Informationen einsehen, die sie zur Ausubung ihrer drenstlichen 

Tdtfgketten benotigen. Alle weiteren Informationen sind gesperrt. Fur die Vergabe der 
15 Zugriffsrechte ist ein Administrator zustdndig, von dessen Zuverlassigkeit der 
Datenschutz im wesentJichen abhangt. 

Zur Datensicherung werden hSufig Anonyrnisierungsverfahren eingesetzt, die 
diejenigen Daten, auf die kein Zugriff erfolgen soli, anonymisieren. Solche Verfahren 
werden insbesondere verwendet, wenn Daten einer Datenbank in Form eines 
20 Datenstroms Gbermittelt werden sollen, wobei sichergestellt werden muG, dafJ auf dem 
; Ubermtttlungsweg kein unberechtigter Zugriff auf die Daten erfolgt. Ein 
Anwendungsbeispiel hierfur ist die Versendung eines Datenstroms per E-Mail, Dabei 
haben Sender und Empfanger voile Zugriffsrechte auf alle in der Datenbank 
enthaftenen Daten. Die Daten werden vor Absendung verschlusselt, so daS Angreifer 
25 innerhalb des Internets keinen Zugriff auf die Daten nehmen konnen. Der EmpfSnger 

entschlusselt die Daten und kann vollstSndigen Zugriff darauf nehmen. 

<* 

Bei den bekannten Verfahren zum Schutz von Datenbanken wird die Autorisierung und 
p Rechteprofung typischerweise am Datenbank-Front End realisiert Dies trifft z.B. fur 

W DB2™ von IBM zu. Wird ein hOheres Niveau bzgl. des Zugriffeschutzes gefordert, so 

30 gibt es kommerzielle Produkte, wie z.B. RACF™ (Ressource Access Control Facility) 
von IBM. Die Zugriffekontrolle wird jedoch auch hier von einem Administrator 
kontrolliert. 

Eine klassische Situation, in der die herkdrnmlichen Verfahren unzureichend sind, ist 
eine Outsourcer/lnsourcer-Beziehung. Ein Outsourcer laftt bestimmte Dienste durch 
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einen Insourcer erbringen und Cibergibt dem Insourcer afle dafOr notwendigen Daten, 
die faeim Insourcer in einer Datenbank gespeichert werden. Wenn der Outsourcer aus 
DatenschutzgrQnden oder aus GrQnden des Kundenschutzes die Weitergabe von 
kundenidentifeierenden Daten eigenstandig kontrollieren will, wird mit den bekannten 
5 Anonymlsiemngsverfahren entweder der Zugriff auf die gesamte Datenbank 
unterbunden_oder_die-seleWive KontrolIe-0^^ 

Administrator unterstellt, der im dem Hause des Insourcers angesiedelt ist. 
GrundsStzJich ware der Zugriff somit auch auf sensible Daten mog lich. 

Es ist Aufgabe der vorliegenden Erfindung, ein Verfahren zur VerfGgung zu stellen, 
10 das den Zugriff auf erne Datenbank ermdglicht, dabei aber bestimmte Daten innerhalb 
dieser Datenbank vorn Zugriff ausschl refit, ohne die Zuordnung der ausgeschlossenen 
Daten zu den restlichen Daten zu zerstdren. Die Datenbank soli zur Bearbeitung der 
nicht geschOtzten Daten in dritte Hande gegeben werden kOnnen, ohne dad die 
Zugriffekontrolle auf die geschutzten Daten aus der Hand gegeben wird. 

15 ErfindungsgemaB wind ein Verfahren zur Anonymisierung sensibler Daten innerhalb 
eines Datenstroms mit folgenden Schritten vorgeschlagen: 

a) Anonymisierung des sensiblen Date nf elds; 

b) Kennzeichnung des anonymisierten sensiblen Datenfelds innerhalb des 
Datenstroms durch Start- und Stoppzeichen. 

20 Erfindungsgemad werden die sensiblen Daten innerhalb einer Datenbank selektiv 
anonymisiert. Die anonymisierten Datenfelder werden mit einem Start- und einem 
Stoppzeichen vensehen, urn sie for die sphere Deanonymisierung kenntlich zu 
machen. 

Das erfindungsgemafie Verfahren kann insbesondere eingesetzt werden, wenn ein 
25 Datenbanknutzer Daten in einer Datenbank ablegt, und Teile der Oaten durch einen 

Datenbankbetreiber bearbeitet werden sollen. Wahrend der Datenbanknutzer 

autorisierl ist, samtliche Daten zu lesen, sollen sensible Daten, wie z. B. 

kundenidentifizierende Informationen, ftlr den Datenbankbetreiber anonymisiert und 

nicht deanonymisierbar sein. Die Anonym is ierungsinformation verbleibt beim 
30 Datenbanknutzer. Die nicht anonymisierten Daten kfcnnen vom Datenbankbetreiber 

ausgewertet und bearbeitet werden. Die Zuordnung der Daten zueinander bleibt 

ertialten. 

Die sensiblen Daten kOnnen beispielsweise kundenidentifizierende Informationen sein, 
wobei die dem Kunden zugeordneten Daten zwecks statistischer Auswertung lesbar 
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soJIen. Die Datenbank kann mit dern erfindungsgemSSen Anonymisierungs- 
verfahren partiell anonymisiert und an Dritte zur statistischen Auswertung und 
Bearbeitung weitergegeben werden. Die kundenidentrfizierenden Daten sind filr den 
Dritten nicht tesbar. Die Kontrolle dartiber, welche Zugriffsrechte fur welche Personen 
bestehen, verbleibt beim Datenbanknutzer. Die Zuordnung zwischen den bearbeiteten 
Dgjg!»Jj nd den j eweili g en anon ym^ejteo_Daten._wie-Kundennamen-bleibt-erha»ten. - 
Nach Ruckgabe der ausgewerteten oder bearbeiteten Datenbank an den 
Datenbanknutzer kann dieser die Deanonymisierung vomehmen und die vollstandige. 
bearbeitete Datenbank nutzen. 



10 



20 



Das-erfindungsgemaBe Verfahren laGt sich insbesondere auch dann vorteilhaft 
anwenden, wenn die sensiblen Datenfelder eine vorgegebene Feldlange aufweisen. Es 
versteht sich aber von selbst, daS das Verfahren ohne Einschrankung auch bei 
unbegrenzten Feldlangen entsprechend anwendbar ist. Auch wenn sich die 
nachfolgenden AusfOhrungen vermehrt auf sensible Datenfelder vorgegebener 
15 Feldlange beziehen. ist dies nicht einschrankend zu verstehen. 

Vorteilhaft kann vor der Anonymisierung des sensiblen Datenfeldes eine 
Korriprimierung der Daten vorgenommen werden. Im Falle der vollstandigen FQIIung 
des Datenfeldes wird auf diesem Wege Platz fur die Hinzufugung von Start- und 
Stoppzeichen zur Kennzeichnung des anonymisierten Datenfeldes geschaffen. Die 
Kennzeichnung ist notwendig zur spateren Deanonymisierung des Datenfeldes. 

1st das Datenfeld ohnehin nicht vollstandig gefullt, oder sind die Daten durch die 
Komprimierung soweit kompnmiert, daB noch Platz im Datenfeld verbleibt, kann das 
DatenfeJd vor der Anonymisierung durch Fullzeichen aufgefullt werden. 

Es stehen insbesondere zwei Moglichkeiten zur Anonymisierung des Datenfeldes zur 
VerfQgung, namlich die Pseudonymisierung und die Verschlosselung. 

Ist das Datenfeld vollstandig ^gefUllt, wird vorzugsweise eine Pseudonymisierung 
vorgenommen. Dabei mufA die Lange des verwendeten Pseudonyms so gewahlt 

Werde "' daB im Datenfe,d nach der Pseudonymisierung Platz fur Start- und 
^jf Stoppzeichen verbleibt. 

30 Verbleibt innerhalb des Datenfeldes noch Platz, so wird das Datenfeld vorzugsweise 
durch Fullzeichen. insbesondere mit zufalligen Werten. zumindest teilweise aufgefullt 
und anschlie&end verschlusselt. 

Die Auffullung des Feldes mit zufalligen Werten sichert die AuflOsung von Isonomien. 
Beispielsweise ist es erforderlich, daft haufig auftretende Namen, wie im deutschen 



25 
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Sprachraum Muller, Meier usw. verschieden verschlusselt werden, damit Qber eine 
Analyse der Haufigkeit der Daten keine ROckschlOsse auf die Daten gezogen werden 
kann. Dies wird mit der AuffOllung des Datenfeldes durch zufSllige Werte und 
anschlie&ende Verschlusselung erreicht. 

5 In einer bevorzugten AusfGhrungsform des erfintiungsgema&en Verfahrens werden im 



verschlQsselten Datenfeld avich Informationen Qber den zur Verschlusselung 
verwendeten Schlussel abgelegt. Diese Schlusselinformationen dienen dem 
Datenbanknutzer dazu, die verschlQsselten Daten entschlQsseln zu kannen. Auf 
diesem We^e konnen verschiedene Schlussel zur Verschlusselung der Daten 
10 verwendet werden, wobei jeweils innerhalb des Feldes die entsprechenden 
Schlusselinformationen zur Identifizierung des Schlussels abgelegt werden. Es 
versteht sich von selbst, da& der Fullgrad des Feldes so beschaffen oder durch 
Datenkompression erzetigt werden mufc, daft Platz zum Ablegen einer 
Schlusselinformation verbleibt. 

15 Das Erkennen, welche Daten zu ver- bzw. entschlQsseln sind, kann durch eindeutige 
Kennzeichnung durch sogenannte Start- und Stoppzeichen, wie z.B. „{" und »T 
realisiert werden. Diese Start- und Stoppzeichen durfen im betroffenen System aulier 
zur Kennzeichnung verschlQsselter Daten nicht verwendet werden. Dieser Ansatz hat 
den Vorteil, daft er unabhdngig von den Anwendungeri, die auf den Daten operieren, 

20 ist. 

Gibt es im betrachteten System kein einziges eindeutiges Startzeichen, kann eine 
Mange von Startzeichen verwendet werden. Gleiches gilt fur das Stoppzeichen. Im 
einfachsten Fall kSnnte die Menge der Startzeichen aus einem Zeichen bestehen, 
welches mit dem Stoppzeichen identisch ist. Dies hat allerdings wiederurri den 
25 Nachteil, daft eine Synchronisierung in einem Fehlerfall alleine aufgrund der Kenntnis 
von Start- und Stoppzeichen nicht mehr moglich ist. 

Das erfindungsgemd&e Verfahren wird im folgenden anhand von verschiedenen 
Beispielen mit Bezug auf die beigefugten Abbildungen ndher erlautert: 

Fig. 1 zeigt die Kennzeichnung von sensiblen, zu anonymisierendeh Daten; 

30 Fig. 2 zeigt das Ablaufschema einer Ver- bzw. Entschlusselung; 

Fig. 3 zeigt den Ablaut eines VerschlOssefungsprozesses; 

Fig. 4 zeigt die Struktur eines verschiQsselten Datenfeldes; 

Fig. 5 zeigt den Ablauf eines Entschlusselungsprozesses. 



Datum 12.03.99 14:03 FAXG3 Nr: 112397 von NVS:FAXG3.22/00 (Seite 6 von 19) 



12/B3/99 14:BB:13 +49 4B 35BB5111r> ftf £l§5:22# * JJghtFAX Page BB7 



5- 



Das Anonymisiemngsverfahren soli folgende Anforderungen erfdllen: 

1. Haufig vorkommende Daten (z.B. die hdufig auftretenden Namen Muller, Meier 
usw. im deutschen Sprachraum) sollen verschieden verschlQsselt werden. 
Dadurch soil verhindert werden, daQ uber die Analyse der Haufigkeit von Daten 
Schlusse auf die Daten selbst gezogen werden kdnnen. Pie isonomien der 



Daten sollen aufgeldst werden. 

2. Die Lange eines zu verschlusselndes Datenfelds ist durch eine fixe, rnaximale 
Lange beschrSnkt die im wesentlichen durch das Datenbank-Design 
^ vorgegeben ist. Feidtypen, z_B. numerisch oder aJphanumerisch dOrfen nicht 
10 verdndert werden. Diese Anforderung ermdglicht eine nachtxagliche Integration 

des Verfahrens, ohne daG ein Betreiber eines Datenbanksysterns seine 
Anwendungen zur Verarbeitung der Daten verdndem mufi. 

^0 a . 3. Jedes verschlusselte Datenfefd e nth Sit a!le Information en au&er SchlQssel und 

f .'W systemweite Parameter zur EntschlQsselung. Ein autarkes Verarbeiten jedes 

15 Datenfeldes ist deshalb mdglich. 

Die vorgenannten drei Eigenschaften sollen von dem gewahlten 
Anonymisiemngsverfahren gleichzeitig erfQIlt werden. 

Zur Durchfuhrung des Verfahrens wird das zu anonymisierende Datenfeld zunachst 
auf seinen FOIIgrad hin Oberpruft. Es muR sichergestellt werden, dali nach der 
20 Verschlusselung noch genugend Platz innerhalb der vorgegebenen festen 
Datenfeldlange verbleibt, um ein Start- sowie ein Stoppzeichen und eine Information 
fOr den verwendeten SchlQssel abzulegen. 

1st der FQIIgrad des Datenfeldes zu gro& um eine Verschlusselung mit den 
vorgenannten Kriterien durchfuhren zu konnen, wird das Datenfeld zunachst 
25 komprimiert. Fuhrt auch die Komprimierung des Datenfeldes nicht zu einer hinreichend 
kleineh Feldgrd&e, erfolgt die Pseudonymisierving. Das Pseudonym mutt so gewdhlt 
^ werden, dafi die oben unter 2.) vorgegebene Bedingung hinsichtlich des 

f Fullungsgtades des Datenfeldes erfillK wird. 

Ist der FOIIgrad des Datenfeldes hinreichend gering, um eine Verschlusselung des 
30 Datenfeldes zu ermoglichen, wird die Verschlusselung vorgenommen. DafGr wird das 
Datenfeld zunachst bis zum maximal moglichen FQIIgrad mit zufSlligen Werten 
aufgefOltt. 
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Bei geringem Informationsgehalt des DatenfeJds kann vor der Auffilllung eine 
Datenkomprimierung vorgenommen werden, um Isonomien besser auflosen zu 
konnen. 

Anschlie&end wird die Verschlusselung vorgenommen. Der verwendete 
5 Verschlusselungsalgorithmus kann beliebig gewahlt werden. Gangige Algorithmen sind 
z.B. IDEA (international Data Encryption Algorithm) Oder DES (Data Encryption" 
Standard). 

Das verschlusselte Datenfeld wird dann mtt einem Start- und einern Stoppzeichen 
gekennzeicrinet. AuGerdem wird im Datenfeld an einer vorher definierten Position eine 
10 Information Qber den zur VerschlQsselung verwendeten Schlussel abgelegt. 

Das nachfolgende Beispiel soil das Verfahren veranschaulichen: 

Die Datenfeldlange betragt 40 Zeichen. Inhalt des unverschlQsselten Datenfeldes ist 
der Name ^eier". Als Startzeichen dient „{\ als Stoppzeichen „} n . Das Datenfeld wird 
auf die volie FeldlSnge aufgefQIlt und mit Start- und Stoppzeichen versehen, also: 

15 {Meier }. 

An das Verfahren werden die 40 Zeichen zwischen den Start- und Stoppzeichen 
ubergeben. Die Verschlusselung ergibt dann ein 40 Zeichen langes Datenfeld 
einschlieftlich Start- und Stoppzeichen, also z.B.: 

{ch74nHhdjqa yjasS}. 

20 In den verschlQssetten Datenfeldern sind k Bits ziir Kennzeichnung des verwendeten 
Schlussels aus einem Schlusselsatz vorgesehen. Somit ist es mdglich, 2 k 
verschiedene Schlussel darzustellen. Durch die Aufnahme von Zusatzinformationen in 
die verschlusselten Datenfelder, wie z.B. Menge von Start- und von Stoppzeichen, 
SchlOsselbits und Inforrnationen uber den verwendeten Initiafisierungssektor fur den 

25 Verschlusselungsalgorithmus ist eine Komprimierung der zu verschlusselnden 
Datenfelder notwendig. 

In der beigefugten Fig. 2 ist die Ver- bzw. Entschlusselung von Datenfeldern 
dargestellt. Die einzelnen Schritte werden nachfokjend naher erlautert. 

Die Beschreibung des Verfahrens geht von den folgenden Voraussetzungen aus: 

30 - Jedes Zeichen wird durch ein Byte dargestellt (z.B. ASCII- oder EBCDIC- 
1 Code). Vor der Ver- bzw. Entschlusselung werden alle Zeichen eines Feldes in 
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einen intemen Zeichensatz (ASCII) umgewandett und danach wieder 
entsprechend konvertiert. 

Die unterschied lichen Parameter sind wie folgt festgelegt: 

1. einen Zeichensatz (z.B. 91 bestimmte Zeichen des EBCDIC-Cedes); 



5 2. eine Menge der Startzeichen und Stoppzeichen fur verschlDsselte 

Datenfelder, die nicht inn Zeichensatz enthalten sind; 

3. fc ein Ersatzzeichen fur nicht zum Zeichensatz gehorende Zeichen (ist 
— Bestandteil des Zeichensatzes); 

4. ggf. notwendige Fullzeichen (ist Bestandteil des Zeichensatzes); 
10 5. Verfahrensparameter fur die Kompression; 

6. Angaben darQber, wie bei nicht erfolgreicher Komprimierung das 
ursprGngliche Datenfeld nachverarbeitet werden soil; 

7. Angaben zur Darsteflung von Bitfolgen als Folgen zulSssiger Zeichen; 

8. Angaben daruber, welch er der Schlussel aus dem Schlusselsatz 
15 verwendet werden soil. 

In Abhdngigkeit von der Machtigkeit des Zeichensatzes lassen sich einzelne 
Bitsegmente jeweils zu Zeichenfolgen einer bestimmten Lange umformen (zum 
Beispiel kOnnen bei einem Zeichensatz von 91 Zeichen je 13 Bit in je 2 Zeichen 
effekbv umgeforrnt werden). Optimal ware eine „gemeinsame" Umformung der 
20 gesamten Bitfolge durch Betrachtung der Folge als Binarzahl und Darstellung dieser 
Zahl zur Basis b = Machtigkeit des Zeichensatzes 

Im folgen den wird ein Verfahren zur effektiven Codierung einer moglichst grofcen 
Bitfolge in ein Datenfeld einer vorgegebenen Lange beschrieben, das fur eine 
Implementierung auf Systemen mit 32-Bit-Prozessoren vorgesehen ist. Zunachst wird 
25 fur einen gegebenen Zeichensatz vom Umfang b vor der Grundinitialisierung einmalig 
folgendes berechnet (Jn* bezetchnet hierben den naturiichen Loganthmus): 

• Bestimmung des Minimalwertes von x/y fQr ganzzahliges y von 1 bis 32 und 
ganzzahliges x s y * ln(2)/ln(b). 

Beispiel: Bei b = 91 erhdlt man ein Minimum bei x = 2 und y = 13. 
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• Fur alle Werte x' von 1 bis x-1 wird das jeweilige ganzzahlige Maximum y* (x') mit 
fix*) * ln(2)/ln(6J <£x' berechnet. AuSerdem wird y'(0) := 0 gesetzt. 
Beispiel: Bei b = 91 und x = 2 erhalt man /(1) = 6. 

Es laBtsich nun folgendermafcen eine Bitfolge in ein Datenfeld der LSnge d urnformen: 



-5 i. Umformung vonjey Brtinjex-Zeichenr — ^ 

Beispiel: Bei b - 91 werden je 13 Bit durch je 2 Zeichen dargestelft. 

2. Falls die gegebene Datenfeldlange d nicht durch x teilbar ist f dann werden 
y' (x> Bit in die restlichen x' Zeichen umgeformt. Im Beispiel werden noch 6 Bit 
^ durch ein Zeichen dargestellt. 

10 Sei s die Anzahl der verwendeten Startzeichen in den verschiusselten Datenfeldern 
und 

L(d,b,s = L) = ((d - .$ - 1) DIV x)*y + y'({d - s - 1) MOD x) 

die Anzahl der Bits, die sich durch Anwendung des obigen Verfahrens in ein Datenfeld 
der Lange (d - s - 1) urnformen lassen. Der Wert (d - s - 1) resultiert daraus. dali im 
15 verschlQsselten Datenfeld die Menge der Startzeichen der Lange s und das 
Stoppzeichen enthalten sein mussen. 

Bei d = 30, b = 91. und 5 =1 erhalt man zum Beispiel L - 14 * 13 + 0 =182, 
bei d~ 15, b = 91 und s=3ergibt sich L = 5 * 13 + y'(1) = 65 + 6 = 71. 

m = (L - k - Lange komprimierte Bitfolge) sei, die nach der Kompression noch zur 
20 VerfQgung stehenden Bits, k Bits sind fur die Nummer des verwendeten SchlQssels 
vorgesehen. Fur die Kompression k6nnen die verschiedensten Methoden eingesetzt 
werden. In AbhSngigkeit von dieser Zahl wird festgelegt, wie der Initialisierungsvektor 
fur die Verschlusselung bereitgestellt und codiert wird. 

Die geeignete Wahl des Initialisierungsvektors sorgt dafur, daB Isonomien aufgeiast 
25 werden. Es gibt hierfQr prinzipiell die folgenden MCgiichkeiten, die eingesetzt werden 
kOnnen: 

• Verwendung von Zufallszahlen 

• Verwendung von Zaihlern. 

Zeitlich gestaffelt konnen verschiedene SchlUssel des aus k SchlOssetn bestehenden 
30 Schlusselsatzes eingesetzt werden. Bei der VerschLQsselung ist festzulegen, welcher 
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dieser SchlQssel verwendet werden soil. Die Schlusselnummer wird durch k Bits 
kodiert. 

Wenn die aus k Bits fur die Nummer des SchlOssels, den Bits ftir die Cadierung des 
Initialisierungsvektors und den Bite des komprimierten Datenfeldes bestehende 
5 Bitfoige kOrzer als erforderfich sein solfte, d.h. kleiner als L ist, so wird sie am Ende mit 
Bits „0" aufgefdllt, bis die maximal zuiassige Bitiange L erreicht ist. 

Verschlusselt wird der komprimierte Datenfeldinhalt 

Die Verschltisselung kann mit einem BlockverschlGsselungsalgorithmus erfolgen und 
dem gespeicherten geheimen Schlusset im CBC-Modus, wobei der letzte Block der 
10 Lange j (falls diese kurzer als 64 Bit ist) im CFB-Modus verschlusselt wird (siehe 
Z.B.ISO/IEC 10116, Informations Technologie - Modes of Operation for ann-bit Block 
Cipher Algorithm, 1991). 

Bei der Betrachtung wird davon ausgegangen, dafi die typische Blockldnge von 64 
verwendet wird. Eine Verallgemeinerung aiuf andere Blocklangen ist offensichtlich. 
15 Eine andere Variante, die sog. StromverschiOsselungsalgorithmen, konnten direkt zur 
zeichenweisen VerschlQsselung eingesetzt werden. 

Zur Bildung des verschlQsselten Datenfeldes wird schlielilich die erhaltene 
Zeichenfolge zwischen derMenge Startzeichen und dem Stoppzeichen eingefugt. 

Sobald im Datenstrom die Startzeichenfolge erkannt wird, werden die nachfolgenden 
20 Zeichen in einen internen Speicher gegeben, bis das Stoppzeichen erscheint. 

Falls sich unter den nachfolgenden Zeichen die Startzeichenfolge befindet wird der 
ProzeB der Einspeicherurig abgebrochen und bei der neuen Startzeichenfolge 
begonnen. Falls nach einer vorgegebenen Maximallange noch kein Stoppzeichen 
festgesteltt wurde, wird der ProzeU ebenfalls abgebrochen und es wird erneut nach der 
25 nach st en Startzeichenfolge gesucht. Falls zwischen der Menge Startzeichen und dem 
Stoppzeichen weniger als eine vordefinierte untere Schranke Zeichen sind, wird die 
Einspeicherurig ebenfalls abgebrochen. 

Nicht jedes Datenfeld kann so stark komprimiert werden, da(i die angestrebte Anzahl 
Bits fGr den Initialisierungsvektor zur Verfugung steht. Je kurzer die Datensatzlange ist, 
30 desto schlechter ist die Komprimiemng, mit der Konsequenz, daS weniger Bits fur den 
Initialisierungsvektor zur VerfQgung stehen und somit weniger Moglichkeiten 
verschiedene Chiffrate fur ein Datenfeld zu erzeugen. 

In einem soichen Fall gibt es prinzipiel! die folgenden drei Moglichkeiten fortzufahren: 
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1. KQfzung des Datenfeldes bis eine ausreicbende Komprimierung erreicht 
werden kann. Dies ist aber zwangslaufig mit Informationsverlust verbunden. 

2. Das betroffene Datenfeldes wird nicht verschlussett, es wird somit in Klartext 
bieiben. Dies kann moglicherweise akzeptabel sein, falls dies im Verhaltnis zu 

5 der gesamten Menge zu verschlusselten Datenfelder sehr selten vorkommt. 

3. Verwendung des Pseudonymisierungsansatzes, dieser wird im foigenden 
beschrieben. 

Bei vorgegetfener fester Feldlange, kann der Fall eintreten f da& keine ausreichende 
Komprimierung der Datensatze erreicht werden kann. Ist eine Kurzung pder das 
10 Weiterleiten in Klartext nicht akzeptabel, so kann die vollstandige "Verschleierung" 
aller ausgewahlten Datensatze, durch den Pseudonymisierungsansatz realisiert 
werden. 

Analog zu einem Alias, erfolgt eine Verknupfung von Datenfeldem und Pseudonymen 
und vice versa. Die Informationen werden in einer Tabelle gehalten. 

1 5 Leutheusser-Schnarrenberger <-> X1BXE H 

Garmisch-Partenkirchen <-> X2BXD9 Z 



Falls die Pseudonymisierung an mehreren rSumlich getrennten Orten notwehdig ist, 
mussen die an alien Standorten vergebenen Pseudonyme an alien anderen 
20 Standorten vorgehalten werden (Replikation); Dies bedeutet zusatzliche 
Kommunikationskosten. Es sind zusatzliche MaBnahmen zur Sicherung der 
Ubertragung notwendig. 

Die Speicherung von verschlusselten Datenfeldem kann iiber langere Zeitraume, z.B. 
5-15 Jahre, erfolgen. Die '-zeitlich gestaffelte Verwendung von mehr als einem 
25 Schlussel ist aus den foigenden Grunden ratsam: 

• Wird der Schlussel bekannt, ist die gesamte Menge der verschlusselten 
Datenfelder als offen gelegt zu betracnten. 

• Die einem Krypto-Analysten zur Verfugung stehende Menge von verschlusselten 
Datenfeldem, ist wesentlich geringer, wenn mehrere Schlussel verwendet werden. 

30 Deshalb sieht das Verfahren pro Menge von Datenbanknutzern, die kooperieren, k 
SchlOssel vor. 
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In einem Trust Center (vertrauenswurdige dritte Instanz). welches das notwendige 
techhische und organisatorische Umfeld stellt, kflnnen die SchlQssel generiert werden. 

Verschiedene Mengen von Datenbanknutzern, die nicht miteinander kooperieren, 
sollten verschiedene Mengen Von SchlGsseln haben, die keinerlei Abhangigkeit von 
5 _ einander hab en - So fe* ausgeschlossen, daG eine Menge von Datenbanknut z ern auf 
Datenbankinformationen der anderen Menge von Datenbanknutzern zugreifen kannT 

Das Key Management besteht aus folgenden Funktionen: 

1. Scblu^selerzeugung 

Eizeugung eines Schlusselpaktets aus k Schlusseln. Hierfur eignet sich 
10 besonders ein Hardware ZufaHszahlengenerator. Jm Nachgang der 

Schiasselerzeugung kdnnen die generierten SchlQssel auf ern 
Schlusselaufbewahrungsmedium, z.B. eine Chip- oder PCMCfA-Karte, 
gespeichert werden. Diese Medien konnen so konfiguriert werden, daft sie die 
kryptographischen Berechnungen selbst ausfuhren Oder SchlQssel erst nach 
15 vorheriger Authentisierung herausgeben. 

2. Schlussefverteilung 

Vorn Ort der SchlusseJgenerierung konnen die SchlQssel auf einem 
Schlusselaufbewahrungsmedium zum Einsatzort (Endgerat) oder zur sicheren 
Aufbewahrung (Back-up) transportiert werden. 

20 3. SchlQssel in Endgerate einbringen 

Ein Endgerat zeichnet sich dadurch aus, daB es die notwendfgen Ver- bzw. 
EntschlGsselungsprozesse ausfQhren kann. Ein solches GerSt kann eine 
spezieU entwickelte Hardware oder ein PC sein. Die SchlOsseJ konnen aus dem 
Schlusselaufbewahrungsmedium nach vorherjger Authentisierung in eiri 
25 Endgerat geladen werden oder das Endgerat kann Auftrage zur Ver- und 

Entschlusselung entgegennehmen. Der letzte Fall setzt eine entsprechende 
Ressource des SchlQsselaufbewahrungsmediums voraus, hat aber der Vorteil, 
dafc die SchlQssel nie das Schlusselaufbewahrungsmedium verlassen. 

4. SchJQssel vernichten: 

30 Falls ein kooperierende Menge von Datenbanknutzern ein SchlQsselpaket aus 

k Schlusseln nicht mehr benotigt, ist es moglich, die SchlQssel durch geeignete 
MaSnahrrien zu vernichten, z.B. durch Vernichtung des Schlusselauf- 
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bewahrungsmediums und Ldschen . des SchlOsselpakets aus den 
entsprechenden Endgeraten, falls vorhanden. 
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Verfahren zur Anonymisierung sensibler Daten innerhalb eines Datenstroms 
mit den folgenden Schritten: 

a) Anonymisierung des sensible n Patenfelde s. 



b) Kennzeichnung des anonymisierten sensrblen Datenfeldes innerhalb 
-des Datenstroms durch Start- und Stoppzeichen. 

2. Verfahren nach Anspruch 1. dadurch gekennzeichnet, daft vor der 
Anonymisierung eine Komprimierung des sensiblen Datenfeldes stattfindet. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daB das 
sensible Datenfeld vor der Anonymisierung durch Fullzeichen aufgefullt wird. 

4. Verfahren nach einem der Anspruche 1 bis 3, dadurch gekennzeichnet, daft 
die zu anonymisierenden Daten pseudonymisiert werden. 

5. Verfahren nach einem der Anspruche 1 bis 3, dadurch gekennzeichnet, dad 
die zu anonymisierenden Daten verschlusselt werden. 

6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, daB sensible 
Datenfelder vor der Verschfusselung zumindest teilweise mit zufailigen Werten 
aufgefullt werden. 

7. Verfahren nach Anspruch 5, oder 6, dadurch gekennzeichnet, daft im 
verschlQsselten Datenfeld Inforrnationen Ober den zur Verschtusselung 
verwendeten Schiussel abgelegt werden. 

8. Verfahren nach einem der Anspruche 1 bis 7, dadurch gekennzeichnet, daft 
das sensible Datenfeld eine feste Feldlange aufweist 
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